Original-URL des Artikels: https://www.golem.de/0512/42050.html    Veröffentlicht: 07.12.2005 10:06    Kurz-URL: https://glm.io/42050

Kritische Sicherheitslücken in Xpdf

Manipulierte PDF-Dateien können Heap Overflows verursachen

Der freie PDF-Betrachter Xpdf enthält vier kritische Sicherheitslücken, durch die Angreifer beliebigen Programmcode ausführen können. Auch die aktuelle Version 3.01 ist betroffen, die Entwickler bieten aber bereits einen Patch an.

Insgesamt vier Sicherheitslücken meldet iDefense in Xpdf. Diese ermöglichen es Angreifern, einen Heap Overflow zu verursachen und so mit den Rechten des Xpdf-Prozesses beliebigen Programmcode auszuführen. Laut iDefense sind alle Xpdf-Versionen, inklusive der aktuellen Version 3.01, betroffen.

Die Xpdf-Entwickler bieten bereits einen Patch für den Quellcode sowie fertige Binaries an, in denen die Probleme behoben sind. Red Hat bietet ebenfalls aktualisierte Pakete an und auch für Fedora Core 3 und 4 gibt es Updates. Es ist davon auszugehen, dass auch die anderen Linux-Distributoren in Kürze aktualisierte Pakete für ihre Distributionen bereitstellen werden.

Da andere PDF-Betrachter, wie KPDF oder GPdf, und auch die PDF-Bibliothek Poppler auf Xpdf-Code basieren, sind diese unter Umständen ebenfalls von den Sicherheitslücken betroffen.  (js)


Verwandte Artikel:
Sicherheitslücke in PDF-Viewern für Linux gestopft   
(19.06.2003, https://glm.io/26011 )
Zertifikate: Trustico verwundbar für Root-Code-Injection   
(01.03.2018, https://glm.io/133089 )
Fehler in GTK+ führt zu Pufferüberlauf   
(16.11.2005, https://glm.io/41667 )
Neue RPC-Sicherheitslücke in Windows   
(17.11.2005, https://glm.io/41710 )
Security: Kopierschutz von Microsofts UWP ist nicht mehr unknackbar   
(16.02.2018, https://glm.io/132816 )

Links zum Artikel:
Foolabs - Xpdf (.com): http://www.foolabs.com/xpdf/
iDefense (.com): http://www.idefense.com/

© 1997–2019 Golem.de, https://www.golem.de/